1 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。なお、本レポートでは、本四半期に観測された日本宛のパケットを中心に分析した結果について述べます。

宛先ポート番号別パケット観測数のトップ5を [表1]に示します。

[表1：宛先ポート番号トップ5]

順位	宛先ポート番号	前四半期の順位
1	23/TCP (telnet)	1
2	53413/UDP	3
3	0/ICMP	2
4	445/TCP (microsoft-ds)	4
5	1433/TCP (ms-sql-s)	5

図1は、期間中のトップ5の宛先ポート番号ごとのパケット観測数の推移を示しています。

[図1：2016年1~3月の宛先ポート番号別パケット観測数トップ5の推移]
クリックすると拡大されます

送信元地域のトップ5を [表2]に示します。

[表2：送信元地域トップ5]

順位	送信元地域	前四半期の順位
1	中国	1
2	米国	2
3	韓国	5
4	台湾	3
5	ロシア	4

図2に期間中のトップ5のパケット送信元地域からのパケット観測数の推移を示します。

[図2：2016年1~3月の送信元地域別トップ5ごとのパケット観測数の推移]
クリックすると拡大されます

前四半期から本四半期にかけて、宛先ポート上位はそのままの順位で推移しました。また、ルータなど機器が使用するポートに対するパケット観測数が高い水準にあります。こうしたパケットの発信元はマルウエアに感染したと思われる機器が多くを占めています。日本国内からのパケット数は、全体の数の増減に埋もれてこのグラフからは傾向は、図1や図2ではわかりませんが、2016年に入ってからは国内からの送信される事例が増加しています。こうした動向について「2.1 Port23/TCP宛のパケット数の動向」で詳しく述べます。
その他については、多少の増減はありましたが、特筆すべき状況の変化は見られませんでした。

2 注目された現象

2.1　Port23/TCP宛のパケット数の動向

2011年1月ごろから様々な地域からのPort23/TCP宛に対するパケットを観測しています。それらのパケット多くの送信元は、マルウエアに感染してボット化した設置されたルータやWebカメラなどの製品です。
Port23/TCP宛にパケットを送信するマルウエアは、JPCERT/CCでは複数種存在していることを確認していますが、いずれも機器上で動作しているPort23/TCPのサービス(Telnet)を対象とした探索後、機器に対して攻撃活動を行います。そうした感染機器の一部は、2015年11月下旬以降、53413/UDP宛のパケットも送信するようになりました。Port23/TCPとPort53413/UDPのそれぞれに宛てのパケット数の2015年10月以降の推移を図3に示します。

[図3. Port23/TCP, PORT53413/UDP宛のパケット数の推移]
クリックすると拡大されます

JPCERT/CCでは、不審なパケットの送信元IPアドレスに設置されている機器を調査して機種を推定し、必要に応じて当該機器の製造ベンダ等や、関連ISP等に情報を提供し、問題点の解消に努めています。そうした事例を「JPCERT/CC インターネット定点観測レポート」(*2)でも、これまで数回にわたって紹介しております。
2016年の1月中旬までは送信元の多くは海外からのパケットでしたが、1月下旬に国内の送信元IPアドレスからのパケットの増加がみられました。国内からの送信元IPアドレス数の推移を図4に示します。

[図4. 日本国内のIPアドレスから当該ポート宛にパケットを送信してきたIPアドレス数の推移]
クリックすると拡大されます

調べてみると国内ベンダ製の次のような機器がマルウエアに感染した事例が複数みつかりました。

　　　・　再生可能エネルギー設備のコントローラ機器
　　　・　業務用通信機器
　　　・　温度、湿度、気圧、水量などの情報を収集するための機器、等

これらの機器は次のすべてもしくは一部に該当しました。

　　1.　量販店等で容易に購入できる製品でない
　　2.　内部ネットワーク等保護されたネットワーク環境での利用が推奨されている
　　3.　Port23/TCPでサービス要求を待ち受けている
　　4.　安価な固定IPアドレスサービスを提供しているISPに接続されている

不審なパケットを低減させるために、製品の開発者には製品の問題を、稼働中の機器が設置されているIPアドレスの管理者には稼働中の製品の問題を解消いただくようJPCERT/CC から連絡しました。

2.2　国内のオープンリゾルバが送信元となっているDNSのリプライパケットの対応

DNSのクエリに対するリプライパケットをTSUBAMEが、国内外の多数のIPアドレスから受信しています。受信したパケットを分析したところ、存在しないランダムなホスト名を含んだ名前解決要求パケットに対する応答パケットであることが分かりました。これは、DNS水責め攻撃のために、オープンリゾルバに対して第三者がTSUBAMEのセンサーのIPアドレスを詐称して送信した名前解決要求パケットに対する応答パケットと考えられます。送信元Port53/UDPからのパケット数の推移を図5に示します。

[図5. 53/UDPからのパケット観測数の推移]
クリックすると拡大されます

オープンリゾルバは、DNS水責め攻撃だけでなく、リフレクション攻撃にも悪用されるので、除去することが求められています。1月下旬に複数の事象者が DDoS 攻撃を受けたとの報道(*3)がありましたが、その攻撃では複数のプロトコルが使用され、国内のオープンリゾルバを悪用したリフレクション攻撃も含まれていたとJPCERT/CCは推測しています。
JPCERT/CCでは、該当パケットの送信元である100組織の管理者に情報を提供して善処を求めました。一部の管理者からは、対応結果について返信いただきましたが、その中には複数例のインターネットに接続された組込Linuxボードがオープンリゾルバとなっていた事例や、機器ベンダが対策情報として公開しているフィルタルールの設定等をしないまま運用されていた事例が見つかりました。

JPCERT/CC では、稼働中の機器が設置されているIPアドレスの管理者に連絡を行ない、製品の問題と稼働中の製品の問題両方を解消できるよう努めております。

3 参考文献

(1)	Service Name and Transport Protocol Port Number Registry
	http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
(2)	インターネット定点観測レポート
	https://www.jpcert.or.jp/tsubame/report/index.html
(3)	Threat Advisory: #OpKillingBay Expands Targets
	https://community.akamai.com/docs/DOC-5781

Topへ